Новые возможности Microsoft Sentinel

В этой статье перечислены последние функции, добавленные для Microsoft Sentinel, а также новые функции связанных служб, обеспечивающие улучшенное взаимодействие с пользователем в Microsoft Sentinel.

Перечисленные функции были выпущены за последние три месяца. Сведения о выпущенных ранее функциях см. в блогах технического сообщества.

Получайте уведомления об обновлении этой страницы, скопировав и вставив следующую ссылку в средство чтения веб-каналов: https://aka.ms/sentinel/rss

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Апрель 2024 г.

• Единая платформа операций безопасности на портале Microsoft Defender (предварительная версия)
• Microsoft Sentinel теперь общедоступна (GA) в Azure China 21Vianet
• Два обнаружения аномалий прекращены
• Microsoft Sentinel теперь доступен в регионе "Северная Италия"

Единая платформа операций безопасности на портале Microsoft Defender (предварительная версия)

Теперь доступна единая платформа операций безопасности на портале Microsoft Defender. Этот выпуск объединяет все возможности Microsoft Sentinel, Microsoft Defender XDR и Microsoft Copilot в Microsoft Defender. Дополнительные сведения см. на следующих ресурсах:

• Объявление блога: единая платформа операций безопасности с помощью Microsoft Sentinel и XDR в Microsoft Defender
• Microsoft Sentinel на портале Microsoft Defender
• Подключение Microsoft Sentinel в XDR в Microsoft Defender
• Microsoft Security Copilot в XDR в Microsoft Defender

Microsoft Sentinel теперь общедоступна (GA) в Azure China 21Vianet

Microsoft Sentinel теперь общедоступен (GA) в Azure China 21Vianet. Отдельные функции по-прежнему могут находиться в общедоступной предварительной версии, как указано в поддержке функций Microsoft Sentinel для коммерческих и других облаков Azure.

Дополнительные сведения см. в статье о географической доступности и расположении данных в Microsoft Sentinel.

Два обнаружения аномалий прекращены

Следующие обнаружения аномалий прекращены с 26 марта 2024 г. из-за низкого качества результатов:

• Аномалия Palo Alto репутации домена
• Входы из нескольких регионов за один день через Palo Alto GlobalProtect

Полный список обнаружений аномалий см. на странице справочника по аномалиям.

Microsoft Sentinel теперь доступен в регионе "Северная Италия"

Microsoft Sentinel теперь доступен в регионе Северная Италия Azure с тем же набором функций, что и все другие коммерческие регионы Azure, как указано в поддержке функций Microsoft Sentinel для коммерческих и других облаков Azure.

Дополнительные сведения см. в статье о географической доступности и расположении данных в Microsoft Sentinel.

Март 2024 г.

• Теперь общедоступная версия миграции SIEM (общедоступная версия)
• Соединитель Amazon Web Services S3 теперь общедоступен (GA)
• Построитель Подключение без кода (предварительная версия)
• Соединители данных для системного журнала и CEF на основе агента Azure Monitor теперь общедоступны (GA)

Теперь общедоступная версия миграции SIEM (общедоступная версия)

В начале месяца мы объявили предварительную версию миграции SIEM. Теперь в конце месяца, это уже GA! Новый интерфейс миграции Microsoft Sentinel помогает клиентам и партнерам автоматизировать процесс переноса вариантов использования мониторинга безопасности, размещенных в продуктах, отличных от Майкрософт, в Microsoft Sentinel.

• Эта первая версия средства поддерживает миграцию из Splunk

Дополнительные сведения см. в статье "Миграция в Microsoft Sentinel" с помощью интерфейса миграции SIEM

Присоединитесь к нашему сообществу безопасности для вебинарного показа опыта миграции SIEM 2 мая 2024 года.

Соединитель Amazon Web Services S3 теперь общедоступен (GA)

Microsoft Sentinel выпустила соединитель данных AWS S3 для общедоступной доступности. Этот соединитель можно использовать для приема журналов из нескольких служб AWS в Microsoft Sentinel с помощью контейнера S3 и простой службы очереди сообщений AWS.

Параллельно с этим выпуском конфигурация этого соединителя немного изменилась для клиентов коммерческого облака Azure. Теперь проверка подлинности пользователей в AWS выполняется с помощью поставщика веб-удостоверений OpenID Подключение (OIDC) вместо идентификатора приложения Microsoft Sentinel в сочетании с идентификатором рабочей области клиента. Существующие клиенты могут продолжать использовать текущую конфигурацию на данный момент времени и получать уведомления заранее о необходимости вносить любые изменения.

Дополнительные сведения о соединителе AWS S3 см. в статье Подключение Microsoft Sentinel для Amazon Web Services для приема данных журнала службы AWS

Построитель соединителей без кода (предварительная версия)

Теперь у нас есть книга для навигации по сложному JSON, связанному с развертыванием шаблона ARM для соединителей без кода платформы соединителей (CCP). Используйте понятный интерфейс построителя соединителей без кода, чтобы упростить разработку.

Дополнительные сведения см. в записи блога о создании Подключение-разработчиков без кода с помощью конструктора Подключение or (предварительная версия).

Дополнительные сведения о CCP см. в статье "Создание безкодового соединителя для Microsoft Sentinel (общедоступная предварительная версия)".

Соединители данных для системного журнала и CEF на основе агента Azure Monitor теперь общедоступны (GA)

Microsoft Sentinel выпустила еще два соединителя данных на основе агента Azure Monitor (AMA) для общедоступной доступности. Теперь эти соединители можно использовать для развертывания правил сбора данных (DCR) на компьютерах, установленных агентом Azure Monitor, для сбора сообщений системного журнала, в том числе в формате CEF.

Дополнительные сведения о соединителях Syslog и CEF см. в журналах Ingest Syslog и CEF с помощью агента Azure Monitor.

Февраль 2024 г.

• Доступное решение Microsoft Sentinel для предварительной версии Microsoft Power Platform
• Новый соединитель Google Pub/Sub-based для приема результатов Центра управления безопасностью (предварительная версия)
• Теперь общедоступная версия задач инцидентов (GA)
• Соединители данных AWS и GCP теперь поддерживают Azure для государственных организаций облака
• События Windows DNS через соединитель AMA теперь общедоступен (GA)

Доступное решение Microsoft Sentinel для предварительной версии Microsoft Power Platform

Решение Microsoft Sentinel для Power Platform (предварительная версия) позволяет отслеживать и обнаруживать подозрительные или вредоносные действия в среде Power Platform. Решение собирает журналы действий из различных компонентов Power Platform и данных инвентаризации. Он анализирует эти журналы действий для обнаружения угроз и подозрительных действий, таких как следующие действия:

• Выполнение Power Apps из несанкционированных географических регионов
• Подозрительные разрушения данных с помощью Power Apps
• Массовое удаление Power Apps
• Фишинговые атаки, которые стали возможными с помощью Power Apps
• Действие потоков Power Automate путем отъезда сотрудников
• Соединители Microsoft Power Platform, добавленные в среду
• Обновление или удаление политик защиты от потери данных Microsoft Power Platform

Найдите это решение в центре содержимого Microsoft Sentinel.

Дополнительные сведения см. в разделе:

• Обзор решения Microsoft Sentinel для Microsoft Power Platform
• Решение Microsoft Sentinel для Microsoft Power Platform: справочник по содержимому безопасности
• Развертывание решения Microsoft Sentinel для Microsoft Power Platform

Новый соединитель Google Pub/Sub-based для приема результатов Центра управления безопасностью (предварительная версия)

Теперь вы можете получать журналы из Центра команд безопасности Google, используя новый соединитель Google Cloud Platform (GCP) Pub/Sub-based (теперь в предварительной версии).

Центр управления безопасностью Google Cloud Platform (GCP) — это надежная платформа управления безопасностью и рисками для Google Cloud. Он предоставляет такие функции, как инвентаризация активов и обнаружение, обнаружение уязвимостей и угроз, а также устранение рисков и исправление рисков. Эти возможности помогут вам получить аналитические сведения и управлять безопасностью вашей организации и областью атак данных, а также повысить эффективность обработки задач, связанных с результатами и ресурсами.

Интеграция с Microsoft Sentinel позволяет иметь видимость и контроль над всей многооблачной средой из "одной панели стекла".

• Узнайте, как настроить новый соединитель и принять события из Центра командной строки Google Security.

Теперь общедоступная версия задач инцидентов (GA)

Задачи инцидентов, которые помогают стандартизировать методики исследования инцидентов и реагирования, чтобы более эффективно управлять рабочим процессом инцидентов, теперь общедоступен (GA) в Microsoft Sentinel.

• Дополнительные сведения о задачах инцидентов см. в документации по Microsoft Sentinel:

  • Использование задач для управления инцидентами в Microsoft Sentinel
  • Работа с задачами инцидентов в Microsoft Sentinel
  • Аудит и отслеживание изменений в задачах инцидентов в Microsoft Sentinel

• Ознакомьтесь с этой записью блога Бенджи Ковачевич , которая показывает, как использовать задачи инцидентов в сочетании с списками наблюдения, правилами автоматизации и сборниками схем для создания решения для управления задачами с двумя частями:

  • Репозиторий задач инцидента.
  • Механизм, который автоматически присоединяет задачи к вновь созданным инцидентам в соответствии с названием инцидента и назначает их соответствующим сотрудникам.

Соединители данных AWS и GCP теперь поддерживают Azure для государственных организаций облака

Соединители данных Microsoft Sentinel для Amazon Web Services (AWS) и Google Cloud Platform (GCP) теперь включают вспомогательные конфигурации для приема данных в рабочие области в Azure для государственных организаций облаках.

Конфигурации этих соединителей для клиентов Azure для государственных организаций немного отличаются от конфигурации общедоступного облака. Дополнительные сведения см. в соответствующей документации:

• Подключение Microsoft Sentinel к Amazon Web Services для приема данных журнала службы AWS
• Прием данных журнала Google Cloud Platform в Microsoft Sentinel

События Windows DNS через соединитель AMA теперь общедоступен (GA)

Теперь события WINDOWS DNS можно принять в Microsoft Sentinel с помощью агента Azure Monitor с общедоступным соединителем данных. Этот соединитель позволяет определить правила сбора данных (DCR) и мощные сложные фильтры, чтобы вы ели только необходимые записи и поля DNS.

• Дополнительные сведения см. в статье Потоковая передача и фильтрация данных с DNS-серверов Windows с помощью соединителя AMA.

2024 января

Уменьшение ложных срабатываний для систем SAP с помощью правил аналитики

Уменьшение ложных срабатываний для систем SAP с помощью правил аналитики

Используйте правила аналитики вместе с решением Microsoft Sentinel для приложений SAP, чтобы снизить количество ложных срабатываний, активированных из систем SAP®®. Решение Microsoft Sentinel для приложений SAP® теперь включает следующие улучшения:

• Функция SAPUsersGetVIP теперь поддерживает исключение пользователей в соответствии с заданными ролями или профилем SAP.

• Список отслеживания SAP_User_Config теперь поддерживает использование диких карта в поле SAPUser, чтобы исключить всех пользователей с определенным синтаксисом.

Дополнительные сведения см . в решении Microsoft Sentinel для ссылок на данные приложений SAP® и обработка ложных срабатываний в Microsoft Sentinel.

Следующие шаги

Подключение к Azure Sentinel

Получение видимости оповещений